Nas vermoedelijk gehackt

[Verlengsnoer]

Hoi,

Ik heb het idee dat mijn nas gehackt is.
Ik draai een website via de nas (dsm 4.2- 3256) en het is nu al vaker voor gekomen dat er ongevraagd reclame of zelfs als je op de site gaat je een melding (google chrome) krijgt van malware gedetecteerd en dan stuurt ie je naar een compleet andere site..

Als ik dat laat geeft hij over enkele dagen een php parse error,
corrigeer ik dat, dan komt die reclame weer binnen 2 dagen naar voren ....

Hoe kan dit??

De bekende klachten omtrent een gehackte nas heb ik niet, kan gewoon inloggen, hij is niet traag, en cpu verbruik schommelt alleen wanneer iemand op de site kijkt, verder geen rare dingen.

hoor het graag of jullie duidelijkheid kunnen geven of dit een teken is van een gehackte nas (waarsch iemand die bitcoins wil genereren) of dat het wellicht iets anders is.

Ohja misschien ook belangrijk te melding, een volledige virus scan gedaan (Helaas gaat die scanner op dsm 4.2 niet verder dan defenities van 2013) maar geeft geen virussen

alvast bedankt

[Hutje]

Op je NAS zelf hoeft geen malware of virus te staan.
Het is heel goed mogelijk dat alleen je website is gehackt.
Beetje zinloos om een virusscanner er dan nog op te laten draaien als ie na 2013 geen updates meer heeft kunnen binnenhalen.
Er is in die 3 jaar exponentieel meer 'ellende' bijgekomen.
Je kunt het beste gewoon op pc met een up-to-date AV pakket je gedeelde map met je website scannen.

[Verlengsnoer]

Duidelijk,
Maar inderdaad omtrent die virus scanner .. dat helpt niet .

Maar als hij gehackt zal zijn, dan zou in mijn geval Avast in de site lijkt mij ook niets vinden.


Laat ik het even zo zeggen, hij geeft aan wanneer de parse error in beeld komt, dat elke keer iets met lijn 109 van de index.php file is van de template...

Die file heb ik momenteel weer een backup overheen geschreven, en in lijn 109 stond geks wat me opviel..
Dus momenteel helpt scannen over een gedeelde map waarschijnlijk niet. maar ga het proberen

Mocht het probleem terug komen dan zal ik zeker op dat moment ook de gedeelde map eens scannen, en zien of daar uit komt.

Maar steld er komt niets uit, hoe kan het dan steeds dat als je op de site komt dat hij plots ca 6 linken voorbij gaat tot hij op een willekeurige reclame site komt of malware site komt wat niks met mijn site temaken heeft?

hoor het graag, en jullie horen de scan resultaten


Update:

34210 bestanden gescand, 0 infecties

[Ben(V)]

Scannen van de shared files vanaf een pc is zinloos.
Gezien het feit dat het probleem steeds terugkeert als je het verwijdert hebt is een draait er een maleware op je NAS en die zit in de system partitie van je NAS waar je vanaf je pc niet zo maar bij kunt.
De vraag is ook nog of een malware scanner voor windows iets kan vinden in een Linux executable.
Je zou nog iets als ISPProtect kunnen inzetten(free trail) om te kijken of alleen je webite deel besmet is, maar denk dat die ook niets vind
https://ispprotect.com/

Als dat het geval is zit het zeker in je system partitie en is de beste oplossing DSM er opnieuw opzetten.
Gelukkig kan dat zonder je data kwijt te raken.


Ps het kan ook nog op je PC zitten.
Download de free versie van malwarebytes naar je PC en draai die eens.
https://nl.malwarebytes.com/mwb-download/
(Zou iedereen met een PC regelmatig moeten doen)

[Verlengsnoer]

Beide met 0 resultaat
dus dat zal het niet zijn..

Zal nog een scan doen wanneer het probleem weer terug keert (wat tussen nu en 3 dagen waarsch is)
en zullen zien wat er uit komt,

Als er niets uit komt, hoe kan ik dan dsm her installeren zonder dat de date en evt database verloren raakt?
En wat kan ik daarna beste doen om evt een hack aanval tegen te gaan? (de auto blokkeren staat aan op 2 foute logins per 60 minuten

Maar zie geen meldingen dat mensen proberen in te loggen, dat heb ik wel op mn ds414 vanaf dsm 5 tot heden (maar daar heb ik verder geen issue's mee)

hoor het graag

[hansiedown]

Als iemand je website kan aanpassen, is het geen virus. Als er ergens code op je nas staat welke je website aanpast, kan dit pas als de code wordt aangeroepen. Code kan staan in de root van de website of in de database welke gebruikt wordt voor de website.
Ook is het mogelijk dat de pc welke je gebruikt besmet is en je daarmee je website besmet.
Just my 5 cents.

[Verlengsnoer]

Ik zie niks byzonders in de root van de website,
Ook geen rare tabels in de database,

Maar goed, het kan wel ergens tussen gezet zijn waardoor het uiteraard niet 1,2,3 opvalt..
Helaas is een oude database inladen gee optie omdat die heel veel data mist

normaal maak ik wekelijks een backup van de database.. maar dit heb ik niet gedaan laatste tijd,
helaas heb ik ook nog geen optie in de syno apps gevonden die wekelijks enkel een backup van de DB maakt

[Briolet]

Hyperbackup kan gewoon elk uur een backup van de web-share maken + applicaties. Als je dan genoeg versies bewaart, kun je zo een jaar terug in de tijd nog data terugzetten. (Moet je wel upgraden van DSM 4.2)

[Verlengsnoer]

Helaas kan de ds209+ niet meer verder worden geupdate

Goed het probleem is terug ....
Scan uitgevoerd... 46 infecties gedetecteerd.
waarvan 90% PHP/CryptMailer.A

Is het verstandig om de bestanden te wissen? het zijn allemaal bestanden met cijfers er achter.. lijken niet op normale joomla files..

[Hofstede]

Blijkbaar werk je dus met een, eveneens verouderde, Joomla versie voor je website? Hier zitten nogal wat lekken in waardoor het makkelijk te hacken is. En dat zal nu gewoon keer op keer opnieuw gebeuren.
Je zult toch op zoek moeten naar een methode om naar een nieuwe Joomla versie te upgraden.

[Verlengsnoer]

De files zijn verwijderd, de site werkt nog zoals het hoort, dat scheeld een hoop ellende...
En ja gebruik nog de oude joomla 1.5 ivm een template die niet gemaakt is voor 2.5 en hoger

Evenals php 5.3 en lager zijn kwetsbaar..

Maar is er geen optie om het een tijdje tegen te gaan? door andere wachtwoorden bijv of ja geen idee

Het gekke is ook, de syno log geeft ook niks aan dat er iemand "ingelogd" heeft en geeft evenals niet aan dat er bestanden zijn geupdate...

Hoe is dat mogelijk?? normaal logd hij alles, maar kennelijk wat een hacker doet niet

[Briolet]

Bij zo'n lek hoef je waarschijnlijk niet eens in te loggen om data te kunnen veranderen of toe te voegen op een website. Het lek kan juist het omzeilen van de inlog zijn.

In zijn algemeenheid moet alles wat aan het internet hangt altijd up to date zijn. Het beste is om websitesoftware binnen 72 uur te updaten. En als iets niet meer ondersteund wordt: trashen

[Verlengsnoer]

De joomla versie updaten is wel mogelijk gezien sowiezo joomla 2.5 (weet niet zeker of 3 ook nog werkt) werkt op PHP 5.3
Het is alleen niet meer mogelijk de nas te updaten,

Maar deze wordt waarschijnlijk binnenkort vervangen gezijn bij stroom uitval of reboot start hij niet door waardoor hij meerdere malen gereset moet worden voor hij normaal start

[Hutje]

Of de kosten nemen voor een nieuwe NAS en compleet 'vers' (lees=up-top-date) draaien,
of je website bij een hosting-provider onderbrengen.
Ik weet niet of jouw website gasten hiermee nu óók een risico lopen....?

[Verlengsnoer]

na het lezen van wat de virus doet is dit niet schadelijk of overdraagbaar naar de bezoekers,
Het is gewoon meer ee nsoort "script" die geupload is waardoor er heel veel troep zoals reclame en links naar malware in beeld komen.

Zodra ze uiteraard in gaan op die reclame hebben ze natuurlijk wel wat tepakken maar niet die php cryptmailer

En dat is inderdaad ook de bedoeling om bij de nieuwe nas ook de site te moderniseren zodat hij met de tijd mee kan

Als de bezoekers er wel risico om liepen had ik nu wel al de CMS geupdate met een nieuwe template uiteraard